Глава 9 технологии аутентификации для обеспечения безопасности платежей

Глава 9 технологии аутентификации для обеспечения безопасности платежей

Предоставление государственных услуг в электронном виде подразумевает возможность достаточно простого, удобного для пользователя и безопасного способа оплаты этих услуг Вместе с тем на примере развития банковских платежных систем (в частности, систем дистанционного банковского обслуживания, ДБО), видно, что данные системы все чаще подвергаются различного рода атакам . К сожалению, не слишком малая доля таких атак бывает успешной Например, согласно данным, опубликованным в специальной литературе1, на каждые 100 дол оборота потери по банковским операциям с пластиковыми картами в последние десять лет в среднем составляют от 7 до 11 центов (для сравнения — потери банков, связанные с кредитованием клиентов, в среднем в 2 раза меньше) Это является сдерживающим фактором развития электронных платежных систем и существенно снижает уровень доверия пользователей

Попробуем кратко проанализировать основные применяемые в настоящее время сервисы безопасности в электронных платежных системах с точки зрения выполнения требований информационной безопасности (ИБ)

Стандарт Банка России СТО БР ИББС-1 0—2010 (далее — Стандарт) в п 7 1 8 рекомендует при принятии руководством банковской системы решения об использовании Интернета и подготовке регламентирующих документов учитывать следующие положения:

■ Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение) Провайдеры (посредники) Интернета могут обеспечить только услуги, которые ими реализуются;

■ существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством Интернета;

■ существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные (доступные) из сети Интернет;

■ гарантии по обеспечению ИБ при использовании Интернета никаким органом (учреждением, организацией) не предоставляются

Заметим, что в отличие от хорошо изученных корпоративных информационных систем (ИС), участниками электронного взаимодействия в которых является определенный круг лиц, в последние годы интенсивно развивается новый тип ИС — информационные системы общего пользования (ИСОП), «участниками электронного взаимодействия в которых является неопределенный круг лиц и в использовании которых этим лицам не может быть отказано» (п . 13 ст . 2 Федерального закона от 7 апреля 2011 г . № 63-ФЗ «Об электронной подписи» (далее — Закон об электронной подписи)) В настоящее время размеры ИСОП, число их участников могут достигать гигантских размеров (один из самых очевидных примеров таких систем — Интернет) В отличие от Интернета, где изначально был реализован принцип анонимности пользователя, в большинстве ИСОП (системы электронной коммерции, государственных услуг для граждан и организаций и т д ), за исключением случаев информирования (получения открытой информации), необходимо обеспечение надежных механизмов управления доступом пользователей системы Решение данной задачи невозможно без применения средств автоматической идентификации — процедуры распознавания субъекта по его уникальному идентификатору, присвоенному данному субъекту ранее и занесенному в базу данных в момент регистрации субъекта в качестве легального пользователя системы Если в системе обрабатывается и хранится информация ограниченного доступа (банковская тайна, персональные данные), то доступ пользователей должен быть минимально достаточен и строго персонифицирован, следовательно, необходимо использовать надежные средства удаленной аутентификации — комплекса процедур проверки подлинности входящего в систему объекта, предъявившего свой идентификатор Поскольку банковские системы в отличие от ИСОП всегда были закрытыми (корпоративными), то предстоит большая организационная работа, необходимы изменения в нормативной базе и дополнительные технические средства для того, чтобы пользователи ИСОП могли присоединяться к банковским системам для оплаты, например, государственных усуг

В большинстве случаев проверка состоит в процедуре обмена между входящим в систему объектом и ресурсом, отвечающим за принятие решения («да» или «нет») Данная проверка, как правило, производится с применением криптографических преобразований, которые нужны, с одной стороны, для того, чтобы достоверно убедиться в том, что субъект является тем, за кого себя выдает, с другой — для защиты трафика обмена «субъект — система» от злоумышленника Таким образом, идентификация и аутентификация как сервисы безопасности являются взаимосвязанными процессами распознавания и проверки подлинности пользователей . Именно от корректности решения этих двух задач (распознавания и проверки подлинности) зависит, можно ли разрешить доступ к ресурсам системы конкретному пользователю, т . е . будет ли он авторизован . Данному вопросу уделяется повышенное внимание и в руководящих документах Так, стандарт в разделе 7 . 6 определяет следующие требования по обеспечению ИБ при использовании банковской системой ресурсов Интернета:

■ решение об использовании Интернета должно документально приниматься руководством организации банковской системы для определенных целей, например, для ведения дистанционного банковского обслуживания (ДБО);

■ для ограничения использования Интернета в неустановленных целях рекомендуется документально выделить ограниченное число пакетов, содержащих перечень сервисов и ресурсов Интернета, доступных пользователям (сотрудникам банка) в соответствии с их должностными обязанностями и ролями;

■ в организациях банковской системы, осуществляющих ДБО клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с Интернетом должны применяться средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты и пр ), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии;

■ рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех компьютеров, с помощью которых осуществляется взаимодействие с Интернетом в режиме онлайн;

■ при осуществлении ДБО должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы; все попытки таких подмен должны регистрироваться регламентированным образом;

■ все операции клиентов в течение всего сеанса работы с системами ДБО должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации, в случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур

Поскольку последний из перечисленных пунктов в конкретных реализациях всегда вызывает много вопросов, остановимся на вопросах идентификации и аутентификации более подробно